Über die Verwendung privater E-Mail-Adressen und Endgeräte in der Kommunalvertretung hatten sich bereits der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü) in seinem Tätigkeitsbericht 2023 sowie die schleswig-holsteinische Aufsichtsbehörde (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, kurz ULD) geäußert (wir berichteten hier).

Wer ist verantwortlich?

Je nach Bewertung wird die Verantwortlichkeit der in den privaten E-Mail-Konten verarbeiteten personenbezogenen Daten der Gemeinde/Kommune (so der LfDI BaWü) oder den Mandatsträger*innen (so das ULD) zugeordnet, welche sich dann mit den datenschutzrechtlichen Konsequenzen konfrontiert sehen: Die öffentliche Stelle verliert bei der Verarbeitung dienstlicher Daten über private E-Mail-Konten die Kontrolle über die in ihrer Verantwortlichkeit liegenden personenbezogenen Daten. Zudem können Sicherheitsmaßnahmen außerhalb der eigenen Systeme und Anwendungen nur schwerlich um- und durchgesetzt werden. Die Mandatsträger*innen wiederum würden im Zweifel personenbezogene Daten rechtswidrig verarbeiten, wenn sie mit ihrem E-Mail-Provider keinen Auftragsverarbeitungsvertrag abschließen (können) oder dieser keine angemessenen Schutzmaßnahmen ergreift und garantiert. Zudem müssten diese eigenverantwortlich den weiteren Pflichten aus der DSGVO nachkommen, wie z. B. den Informationspflichten oder der Erteilung von Auskunft auf Anforderung betroffener Personen.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI MV) hat diese Thematik nun ebenfalls in seinem Tätigkeitsbericht zum Datenschutz für die Jahre 2022 und 2023 aufgenommen und äußert sich wie folgt:

Im Ergebnis waren diese Anfragen damit zu beantworten, dass eine Verwendung privater oder beruflicher E-Mail-Accounts zu Zwecken der Mandatsausübung von Mitgliedern in kommunalen Vertretungsorganen nicht den datenschutzrechtlichen Anforderungen entspricht.“

Wenn Mandatsträger*innen personenbezogene Daten, wie zum Beispiel Daten von Verwal­tungsmitarbeitenden, Bürger*innen sowie von Mitgliedern der Gemeindevertretung aus dem geschlossenen Teil von Gemeindevertretungssitzungen oder aus nicht öffentlichen Protokollen verarbeiten, müsse insb. der Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO gewahrt und angemessene Sicherheitsmaßnahmen, vor allem für sensible Daten nach Art. 9 DSGVO, gewährleistet werden. Als besonders kritisch hebt der LfDI MV hierbei hervor, dass bei einer Nutzung privater oder beruflicher E-Mail-Accounts (wenn Mandatsträger*innen neben dieser Tätigkeit Berufen z. B. in der freien Wirtschaft nachgehen) der unbefugte Zugriff Dritter auf Daten der Mandatsträger*innen nicht abschließend sichergestellt werden kann. Dies könne z. B. der Fall sein, wenn Familienangehörige oder der Arbeitgeber auf den E-Mail-Account zugreifen können.

Wie positioniert sich der LfDI MV?

Vor dem Hintergrund der unterschiedlichen Sichtweisen des LfDI BaWü und des ULD stellt sich nun die Frage, wen diese kritische Datenverarbeitung und im Zweifelsfall unzureichende Sicherheitsmaßnahmen tangieren würde – die Gemeinde oder die Mandatsträger*innen?

Der LfDI MV erklärt hierzu:

Im Kontext von Gemeindevertretungen entscheiden deren Mitglieder i.d.R. nicht im eigenen Namen und meist auch nicht allein über Datenverarbeitungen ihrer Gemeinde. Die Mitglieder der Gemeindevertretung wirken vielmehr an den Entscheidungen der Gemeindever­tretung mit, die ihrerseits als Organ der Gemeinde handelt. Das Handeln dieses Organs wird dann der Gemeinde zugerechnet, womit in der Folge die jeweilige Gemeinde als Gebietskörperschaft (vertreten durch die/den Bürgermeister:in) als Verantwortlicher i.S.d. Art. 4 Nr. 7 DS-GVO für Verarbeitungen personenbezogener Daten durch die Gemeindevertretung bzw. die Mitglieder der Gemeindevertretung gilt.“ (Hervorhebungen durch die Autorin)

Folglich muss nach dem LfDI MV die Gemeinde als Verantwortliche der Datenverarbeitung die hierfür geltenden datenschutzrechtlichen Vorgaben und Sicherheitsmaßnahmen kontrollieren, durchsetzen und nachweisen – was jedoch bei einem privaten E-Mail-Konto kaum realisierbar ist, wenn dieses außerhalb der Zugriffssphäre der Gemeinde liegt. Weiterhin weist der LfDI MV auf die Problematik im Zusammenhang mit etwaigen Datentransfers an E-Mail-Provider in Drittländern außerhalb der EU / des EWR sowie das Erfordernis eines Auftragsverarbeitungsvertrages mit dem Provider hin.

Der LfDI MV spricht sich für eine strikte Trennung zwischen der Sphäre der Ausübung des Mandats von Mitgliedern der Gemeindevertretung und der privaten sowie beruflichen Sphäre der Gemeindevertreter*innen aus. Eine datenschutzkonforme Alternative wäre hingegen die Bereitstellung gemeindlicher/dienstlicher E-Mail-Adressen, für die die Gemeinde die datenschutzrechtlichen Anforderungen gewährleisten könne.

Fazit

Ausweislich dieser drei Stimmen steht es 2:1 für die Annahme der Verantwortlichkeit der Gemeinden, wenn auf privaten E-Mail-Konten der Mandatsträger*innen personenbezogene Daten der Gemeinde verarbeitet werden. Betroffene Gemeinden sollten daraus einen entsprechenden Handlungsbedarf ableiten, sofern nicht bereits geschehen. Gern unterstützen wir als Datenschutzbeauftragte dabei.

Die beabsichtigte oder geduldete Verarbeitung gemeindlicher Daten in privaten E-Mail-Konten (und auf privaten Endgeräten) birgt nicht unerhebliche datenschutzrechtliche Risiken, wenn sie nicht bereits per se als unzulässig einzustufen sind. Darüber hinaus bleibt die Frage, ob man gegenüber den Bürger*innen die Verantwortlichkeit guten Gewissens von sich ab- und auf eine andere Seite verweisen kann, wenn es zu einem datenschutzrechtlichen Vorfall kommen sollte. Unser Fazit bleibt daher: Auch wenn gerade für kleinere Gemeinden und Kommunen eine Verwendung privater E-Mail-Adressen (und Endgeräte) praktisch und aufwandsärmer erscheint, sollten stets die Vorgabe von behördlichen Kommunikationskanälen und Endgeräten Vorrang haben und entsprechende Ressourcen durch die Verwaltung bereitgestellt werden.